virus little.exe

[rorouni182]

Mi nombre es Mauricio



Bueno agradezco de antemano la colaboración que me puedan prestar, el virus es el siguiente little.exe, se oculta en la raíz de las particiones de los pendrive y cuando infecta un sistema xp, se oculta en los perfiles de usuario ya sea en local settings o datos de programa con otro nombre djjqs.exe.



el problema es que con los confiables elistara, EliBaglA, EliTriIP no me detecta nada, actualizaciones a la fecha actual, siempre debo eliminarlo manualmente o con avast, pero en la mayoria de equipos que lo encuentro cuanto solo con el "grandioso, jejeje" forefront de Microsoft, envié ya las muestras del virus por esta misma página a satinfo, pero no he recibido respuesta.



Gracias

[msc hotline sat]

No recuerdo haber visto ninguna carpeta "rorouni182" en SATINFO, que es como nos ponen las muestras de zonavirus... ??? Seguiste las instrucciones para enviar las muestras ??? :


[quote]
[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos
[/quote]

A no ser que las enviaras ayer a partir de las 18 horas, que es cuando se cierra la entrada de muestras. Si no es el caso, vuelvelas a enviar siguiendo las instrucciones, gracias.



Y mientras vacuna con el ELIPEN ordenador y pendrives:







vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



A la vista del contenido del infosat.txt, con los informes de todos los procesos que han hecho tanto los que ya probaste, ELISTARA, ELIBAGLA, ELITRIIP, como con el de este último, ELIPEN, y del análisis de las muestras recibidas, seguiremos informando.



saludos



ms, 23-9-2010

[msc hotline sat]

Habiendo comprobado que no ha llegado nada con su nick, he encontrado una muestra de un usuario didiar que envia una muestra con dicho nombre, y por si se tratara del mismo fichero, (por el nombre podría ser) ofrezco información al respecto:



Pues aunque aparenta ser de firefox, vemos que es detectado por muchos antivirus como malware (67 %)



File name: little.exe

Submission date: 2010-09-23 09:22:08 (UTC)

Current status: queued (#2) queued (#2) analysing finished





Result: 29/ 43 (67.4%)

VT Community



not reviewed

Safety score: -

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2010.09.22.00 2010.09.22 Win32.Palevo6.worm.Gen

AntiVir 7.10.12.2 2010.09.23 TR/Dropper.Gen

Antiy-AVL 2.0.3.7 2010.09.23 -

Authentium 5.2.0.5 2010.09.23 -

Avast 4.8.1351.0 2010.09.22 Win32:Malware-gen

Avast5 5.0.594.0 2010.09.22 Win32:Malware-gen

AVG 9.0.0.851 2010.09.23 Dropper.Generic2.AIXG

BitDefender 7.2 2010.09.23 Gen:Heur.VB.Krypt.11

CAT-QuickHeal 11.00 2010.09.23 Trojan.Injector.gen

ClamAV 0.96.2.0-git 2010.09.23 -

Comodo 6172 2010.09.23 Heur.Suspicious

DrWeb 5.0.2.03300 2010.09.23 Win32.HLLW.Autoruner.22584

Emsisoft 5.0.0.37 2010.09.23 Gen.Heur!IK

eSafe 7.0.17.0 2010.09.21 Win32.GenHeur.VB.Kry

eTrust-Vet 36.1.7871 2010.09.22 -

F-Prot 4.6.2.117 2010.09.22 -

F-Secure 9.0.15370.0 2010.09.23 Gen:Heur.VB.Krypt.11

Fortinet 4.1.143.0 2010.09.23 W32/Dx.TLY!tr

GData 21 2010.09.23 Gen:Heur.VB.Krypt.11

Ikarus T3.1.1.88.0 2010.09.23 Gen.Heur

Jiangmin 13.0.900 2010.09.21 -

K7AntiVirus 9.63.2582 2010.09.22 Riskware

Kaspersky 7.0.0.125 2010.09.23 -

McAfee 5.400.0.1158 2010.09.23 Generic.dx!tly

McAfee-GW-Edition 2010.1C 2010.09.23 Generic.dx!tly

Microsoft 1.6201 2010.09.23 -

NOD32 5472 2010.09.23 probably a variant of Win32/Injector.CLS

Norman 6.06.06 2010.09.22 W32/Suspicious_Gen.LNCQ

nProtect 2010-09-23.02 2010.09.23 -

Panda 10.0.2.7 2010.09.22 Generic Malware

PCTools 7.0.3.5 2010.09.23 Malware.Pilleuz

Prevx 3.0 2010.09.23 Medium Risk Malware

Rising 22.66.00.07 2010.09.21 -

Sophos 4.57.0 2010.09.23 -

Sunbelt 6914 2010.09.23 Trojan.Win32.Generic.pak!cobra

SUPERAntiSpyware 4.40.0.1006 2010.09.23 -

Symantec 20101.1.1.7 2010.09.23 W32.Pilleuz

TheHacker 6.7.0.0.029 2010.09.23 -

TrendMicro 9.120.0.1004 2010.09.23 TROJ_DROPPER.OPL

TrendMicro-HouseCall 9.120.0.1004 2010.09.23 TROJ_DROPPER.OPL

VBA32 3.12.14.1 2010.09.22 SScope.Trojan.VB.0891

ViRobot 2010.9.23.4057 2010.09.23 -

VirusBuster 12.65.21.0 2010.09.23 Trojan.Injector.THC

Additional informationShow all

MD5 : 07253a1892aacb88b16766e80cc300f2

SHA1 : 520a70a1123d25492cf63ca7e2514c0b2b467be3



File size : 323584 bytes



publisher....: Mozilla Corporation

copyright....: (c)Firefox and Mozilla Developers, according to the MPL 1.1/GPL 2.0/LGPL 2.1 licenses, as applicable.

product......: Firefox

description..: Firefox

original name: firefox.exe

internal name: Firefox

file version.: 1.9.2.6





Por ello lo ponemos en cola de monitorizacion para añadir su control y eliminacion en nuestras proximas utilidades, de lo cual informaremos en el foro.



saludos



ms, 23-9-2010

[rorouni182]

Agradezco su colaboración, efectivamente no tenía claro el proceso de envió de muestras, también realice las pruebas con elipen herramienta que utilizare para ofrecer una mejor protección contra el autorun de mis usuarios, en mi caso :



(23-9-2010 13:49:44)

EliPen v2.1 (c)2010 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad G:\ Protegida



Que es donde se encuentra el virus, así NO se ejecuta sin mi autorización y puedo eliminarlo manualmente.



Insisto con mis felicitaciones a zonavirus e InfoSat, por ser una buena guía para atender estos casos, me sorprende la velocidad de respuesta, tratare de ahora en adelante a acogerme a los procedimientos y documentar mejor mis temas.



cordialmente Mauricio

[msc hotline sat]

Pues mañana es fiesta en Barcelona, la Verge de la Mercè y SATINFO estará cerrado, por lo que hasta el lunes no podremos procesar su muestra, que supongo que será la indicada enviada en un correo de Didiar..., que ha entrado como no asociado.



Pero como que hemos visto que es maliciosa, añada .VIR a la extensión de dicho fichero para que ya no se ejecute mas, aparte de vacunar con el ELIPEN los ordenadores y los pendrives, para que no pueda transmitirse por dicho medio.



Y el lunes ya implementaremos su control y eliminación en el siguiente ELISTARA 21.69



Y mis saludos a su ciudad y pais, donde tengo muy buenos amigos y fabulosos recuerdos de mi estancia allá (recuerdo que el hotel se llamaba Tekendama :) )



saludos



ms, 23-9-2010

[msc hotline sat]

Seguido a lo indicado en el post anterior, dado que al monitorizar este fichero se observó que pertenecía a la familia de los PALEVO, se incluyó su control y eliminación en la versión del ELIPALEVO que hicimos ayer



[b] ELIPALEVO: [/b]

http://www.zonavirus.com/descargas/elipalevo.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 28-9-2010





NOTA:

Esta variante se copia como DJJQS.EXE en los discos duros y como LITTLE.EXE en los pendrive. ms.